CVE-2023-45135 in XWiki情報

要約

〜によって VulDB • 2026年05月09日

XWiki Platformは、その上に構築されたアプリケーションに対してランタイムサービスを提供する汎用Wikiプラットフォームです。`org.xwiki.platform:xwiki-platform-web`のバージョン7.2-milestone-2から14.10.12まで、および`org.xwiki.platform:xwiki-platform-web-templates`のバージョン14.10.12および15.5-rc-1より前では、ページ作成アクションに対して、最初は表示されず、2番目のステップで実行されるタイトルを渡すことが可能です。攻撃者はこれを利用して被害者を騙し、被害者にスクリプト実行権限がある場合はスクリプトの実行を、プログラミング権限がある場合はXWikiインスタンスへの完全なアクセスを含むリモートコード実行を可能にします。攻撃が成功するためには、攻撃者は被害者に`<WikiインストールのURL>/xwiki/bin/create/NonExistingSpace/WebHome?title=$services.logging.getLogger(%22foo%22).error(%22Script%20executed!%22)`のようなリンクを訪れ、そのページで「作成」ボタンをクリックさせる必要があります。このページは、存在しないページを作成するためのボタンをクリックした際に被害者に表示される通常のXWikiページのように見え、悪意のあるコードはページ上のどこにも表示されません。「作成」ボタンをクリックした後、悪意のあるタイトルが表示されますが、この時点ではコードはすでに実行されており、攻撃者はこのコードを使用して攻撃を隠蔽することもできます。例えば、被害者を無害なタイトルで同じページにリダイレクトさせるなどです。したがって、編集権限があればページ上に偽の「ページ作成」ボタンを設置できるため、この攻撃は機能する可能性があります。この問題は、`org.xwiki.platform:xwiki-platform-web`バージョン14.10.12および`org.xwiki.platform:xwiki-platform-web-templates`バージョン14.10.12および15.5-rc-1でパッチが適用され、タイトルが最初のステップで表示されるように変更されたため、被害者が続行する前に攻撃に気づくことが可能になりました。既存のインストールにおいて、パッチ内の修正ファイルを手動でパッチすることも可能です。JavaScriptの変更については、XWikiのビルドからミニファイされたJavaScriptファイルを入手し、それに応じて置き換える必要があります。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub, Inc.

予約する

2023年10月04日

モデレーション

承諾済み

エントリ

VDB-243548

EPSS

0.01741

アクティビティ

非常低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!